功能安全之电子系统安全设计原则

admin 2021年12月3日11:44:17评论165 views字数 2666阅读8分53秒阅读模式

轨道交通安全相关电子系统,如信号系统安全完整性等级需要达到SIL4级,在EN50129安全相关电子系统标准进行了详细的规定。如何在诸多设计要求中,把握基本的安全设计原则,在系统设计初期能够运用方法进行安全分析。

本篇将介绍安全电子系统基本的设计原则,这些原则应用于信号系统及其它安全电子系统的硬件设计。


一、故障、错误与失效相互关系

首先解释下三个容易混淆的概念:故障(fault),错误(error),失效(failure),这些概念在后面的设计原则会经常出现。

故障(fault):可能导致系统错误的异常情况。故障可以是随机性故障,也可以是系统性故障。随机性故障和系统性故障都可能是永久的,或是间歇性,或是瞬态的。

错误(error):计算的、观测的、测量的值或条件与真实的、规定的、理论上正确的值或条件之间的差异。

失效(failure):系统按要求执行功能的能力的终止。系统偏离了其规定的功能或性能。

它们三者的关系可以用一个例子来说明。

功能安全之电子系统安全设计原则

上图中,系统内部的电源芯片出现了一个瞬态的跌落故障,造成由它供电的CPU、内存的电平发生跳变的错误,此时CPU正在读取内存的数据,导致读取的数据异常,CPU根据异常的数据进行计算给出了错误的输出指令,导致系统正常运行功能中断,即系统失效。通过这个例子可以看出,故障将导致错误,错误可以级联传递,最终导致系统失效。

当系统由多个子系统构成,子系统又有不同的组件构成,组件的故障->错误->失效将会导致其上一级的故障->错误->失效,由下向上地传递下去。

下图用来说明不同类型故障、错误、失效它们之间的关系。

功能安全之电子系统安全设计原则


系统性失效不可量化,但应通过相关的过程和技术措施进行全面评估和制定缓解措施,导致系统性失效的原因有:

- 规格或设计错误; 

- 预先存在的故障(SW设计错误,可编程器件错误);

- 制造和硬件故障(制程错误或使用错误的部件材料);

- 工具故障(编译器、开发工具等); 

-  过程(设计、开发、操作等)或维护错误。


随机性失效可以量化,与硬件元器件故障模式和所处的物理环境相关。

由于故障所带来的系统性错误和随机性错误会导致系统的功能中断,可能产生危险失效,因此,安全电子系统应分析各种故障的产生原因,制定缓解措施对故障进行防护。


二、导致随机失效和系统失效的原因

除了分析第一部分的原因外,还要分析内部/外部影响和共因失效。

a) 系统内部影响。例如

⎯ 绝缘性不够

⎯ 电磁耦合干扰(串扰)

⎯ 内部的电源扰动

b) 外部影响。例如

⎯ 温度影响

⎯ 外部电源变化(电压过高/过低,瞬态变化)

⎯ 传导电磁干扰

⎯ 辐射电磁干扰

⎯ 化学应力腐蚀(如适用)

⎯ 机械扰动(振动和冲击)

c) 架构设计的共因。

⎯ I/O结构常见的原因是设计错误

⎯ 表决器中固有的失效安全故障

 d其他共因。

⎯ 编译器的系统设计错误

⎯ 硬件复杂器件(微处理器,内存)的系统错误


对于单一随机故障,SIL3和SIL4级系统应保证故障安全,有三种实现方式:

组合式故障安全

安全相关功能至少由两个对象来实现,各对象之间应相互独立,以避免共因失效。只有必要数量的对象取得一致时,才允许进行非限制性行为。应能检测出一个对象中的危害故障并在足够的时间中导向安全侧处理,以避免第二个对象发生故障导致事故。

故障可能是潜伏性的,只有在特殊条件下才会导致错误,因此必须有在线连续性的故障检测机制。

组合式故障安全通过多个计算通道加输出表决器实现。在铁路应用中,常见的架构有2oo2和2oo3结构。不同通道的输出结果通常由具有固有故障安全特性的表决器实现,也可以在每个通道都加上表决器。

功能安全之电子系统安全设计原则

组合式故障安全对于硬件随机性失效可以通过表决和连续在线监控方式进行防护,不同通道存在的共因失效,如采用相同编译器的软件错误,不同通道中相同硬件的制造缺陷或设备老化,需要对编译器工具进行确认,或编译器和软件的多样化设计,硬件缺陷可通过在线监控,编码技术和硬件异构多样化设计进行防护。对于内外部干扰引起的系统性失效和随机性失效,如电磁干扰、温度、振动等环境因素,应按照EN50121系列标准进行设计和测试,硬件或数据存储采用多样化设计。


反应式故障安全

安全相关功能由一个对象执行,前提是通过快速的危害故障检测和拒绝机制来确保它的安全操作(如通过编码,多路计算和比较,或通过连续的测试)。尽管只有一个对象执行实际的安全相关功能,但检查/测试/检测功能应被看作第二个对象。执行安全功能与检查/测试/检测的对象应相互独立,以避免共因失效。

功能安全之电子系统安全设计原则

反应式故障安全实现了软件和硬件的多样化设计,从而减轻组合式故障安全架构中的设计共因失效。在反应式故障安全中,检查通道对于主通道安全功能检查不完整,反应时间增加或不一致是主要错误,应通过分析和测试对功能检查完整性、反应时间进行验证。其它组合式故障安全的失效防护手段同样适用。


固有式故障安全

安全相关功能由单个对象执行,前提是假定对象的所有可信失效模式均是非危害的。

按照EN50129附录C中定义的元器件失效模式应通过FMEA方法进行识别、分析、仿真和测试以论证不存在非危害性的影响。任何声明为不可信的失效模式应使用EN50129附录C定义的规程来评定,可以被认为是忽略不计的。

固有式故障安全也可用于组合式和反应式故障安全系统中的某些部分,例如确保对象之间的独立性,或在检测到危险故障时强制关闭的抑制设备。

固有式故障安全中没有复杂IC,只有故障模式明确的分立器件组成,因此不存在软件失效,只有系统性失效和硬件随机失效,内外部干扰引起的失效,因此基于元器件失效模式的分析和测试验证是基础防护手段,另外,应对外部干扰进行分析和测试,对非正常的操作进行限制。


SIL3和SIL4系统中,两重故障和三重故障也应及时检测避免造成危害,一般采用故障树分析方法来论证多重故障的影响,多重故障分析应排除共因故障的影响,只是单一随机故障的组合情况。


三、安全设计原则总结

在安全电子系统设计中,为什么与普通电子系统有很大的不同,综上所述,安全电子系统在各种故障情况下,应确保导向或保持故障安全的状态,EN50129给出了以三种故障安全设计为核心的推荐方法,以及围绕这三种架构的对系统性失效、随机性失效、共因失效、内部/外部干扰的触发原因和防护手段。

在系统设计初期,应进行完整的安全分析和论证,采用自上而下的FTA和自下而上的FMEA结合的方法,识别所有的故障类型,制定对应的缓解措施,比较好的做法是形成一份单独的技术安全原理性文件,被安全案例所引用。


本文始发于微信公众号(薄说安全):功能安全之电子系统安全设计原则

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日11:44:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   功能安全之电子系统安全设计原则http://cn-sec.com/archives/451331.html

发表评论

匿名网友 填写信息